Belastingdienst krijgt 3,7 miljoen euro AVG-boete voor illegaal toeslagensysteem

De Belastingdienst heeft opnieuw een AVG-boete gekregen vanwege zijn handelen in het toeslagenschandaal. De Autoriteit Persoonsgegevens legt een recordboete van 3,7 miljoen euro op vanwege het beruchte Fraude Signalering Voorziening-systeem dat centraal stond in de affaire.

De boete is voor rekening van minister Sigrid Kaag van Financiën, die hoofdelijk verantwoordelijk is voor de fiscus. Het is de tweede boete die de Belastingdienst krijgt voor zijn rol in het toeslagenschandaal. In december vorig jaar deelde de AP al een boete van 2,75 miljoen euro uit, toen nog vanwege het Toeslagen Verstrekkingen Systeem of TVS. Dat was toen de hoogste boete die de AP ooit voor een AVG-overtreding had uitgedeeld.

De Autoriteit Persoonsgegevens keek naar de dataverzameling door de Belastingdienst in het Fraude Signalering Voorziening-systeem, afgekort FSV. Dat is een van de beruchtste systemen die de Belastingdienst gebruikte bij het toeslagenschandaal, waarvoor de Nederlandse regering begin 2021 is afgetreden. De FSV bevatte kenmerken van Nederlandse burgers, waaronder hun inkomen, maar ook hun etniciteit, afkomst en gezondheid. Als die burgers een aangifte deden of toeslagen aanvroegen, werd op basis van die kenmerken een risicoscore aangemaakt. Daarmee bepaalde de fiscus hoe groot de kans was dat een burger fraudeerde. In totaal stonden de gegevens van 244.273 personen en 30.000 ondernemers op die 'zwarte lijst'.

Vier overtredingen

Volgens de privacytoezichthouder overtrad de Belastingdienst de privacywet AVG op vier punten met het gebruik van de FSV. Dat gebeurde in ieder geval tussen november 2013 en februari 2020. De Belastingdienst 'handelde in strijd met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking', stelt de AP. Daarnaast ontbraken er maatregelen om de gegevens in die database te beveiligen, en de functionaris gegevensbescherming werd niet goed betrokken bij het beveiligen van de lijst.

De AP is hard over de overtredingen en noemt die ernstig. In de eerste plaats was er 'geen grondslag voor de verwerking van persoonsgegevens in FSV'. Er was geen verplichting om signalen van fraude in het systeem te verwerken. De Belastingdienst verweerde zich daartegen door te stellen dat de dienst 'een algemeen belang' had om de gegevens te verwerken, maar dat argument gaat volgens de AP niet op. Er is geen wet die de specifieke dataverzameling voorschrijft, stelt zij. Ook zouden er zoveel gegevens worden verzameld dat de verwerking ervan niet proportioneel was. Het doel van de zwarte lijst was onduidelijk, stelt de AP, waardoor niet vooraf duidelijk was welke gegevens wel en niet mochten worden verzameld. Dat laatste is ook een overtreding van de AVG, omdat vooraf een duidelijk doel voor gegevensverzameling moet worden opgesteld.

De toezichthouder hekelt ook het feit dat er veel oude gegevens op de zwarte lijst stonden. De Belastingdienst zou die niet verwijderen of rectificeren en daarmee de bewaartermijn overtreden.

Slecht beveiligd

De Belastingdienst zou naast het onterecht verzamelen van de gegevens ook te weinig maatregelen hebben genomen om de data te beveiligen. Er waren 'onvoldoende passende technische en organisatorische maatregelen getroffen ten aanzien van de toegangsbeveiliging, logging en controle op de logging', schrijft de toezichthouder. In het relatief korte boetebesluit beschrijft de AP niet om welke maatregelen het gaat. Wel schrijft de AP dat onbevoegde werknemers gegevens konden opvragen. Ook werden er soms gegevens geëxporteerd uit het systeem zodat nog meer mensen er toegang toe konden krijgen. Mede daardoor had de Belastingdienst 'geen zicht op de verdere verwerking van de data'.

Naast de ernst van de overtredingen vindt de AP ook de aard en de omvang van het toeslagenschandaal 'zeer ernstig'. Er zouden gegevens van honderden minderjarigen zijn verwerkt en burgers hadden een 'ongelijke positie' tegenover de Belastingdienst. Ook deelde de fiscus gegevens van de zwarte lijst met andere overheidsinstanties en private partijen. "De AP vindt het laakbaar dat de Belastingdienst, gelet op haar ruime bevoegdheden en de ongelijkwaardige positie die zij ten opzichte van de burger inneemt, in dit geval buitengewoon onzorgvuldig met haar bevoegdheden is omgegaan", schrijft de AP. De gevolgen voor burgers die op de zwarte lijst stonden, waren 'zeer groot'.

De overtredingen vonden daarnaast jarenlang plaats. "Het feit dat de overtredingen aldus op structurele wijze voor een langere periode hebben voortgeduurd, acht de AP zeer ernstig."

Rol van de FG

De AP noemt ook de rol van de functionaris gegevensbescherming in de affaire. Zo'n FG is in de meeste overheidsorganisaties verplicht en moet toezien op gegevensverwerking. Volgens de AP werd de FG amper betrokken toen er een gegevensbeschermingseffectbeoordeling werd gemaakt. Dat gebeurde pas achteraf. De AP denkt dat de FG de Belastingdienst mogelijk had kunnen waarschuwen voor het onjuist verzamelen van gegevens als hij er eerder bij betrokken was. Dat noemt de AP een 'ernstige overtreding'.

Opvallend is dat de AP bij het bepalen van de hoogte van de boete rekening hield met eerdere overtredingen. Niet alleen ging dat over de eerdere boete voor het toeslagenschandaal, maar ook over het feit dat de Belastingdienst onterecht bsn's gebruikte en dat er in 2018 slecht werd gelogd wie toegang had bij een andere, ongerelateerde afdeling. "Nu de AP wederom heeft vastgesteld dat de minister persoonsgegevens zonder wettelijke grondslag heeft verwerkt en onvoldoende heeft beveiligd, beschouwt de AP deze eerdere vastgestelde overtredingen als relevante eerdere inbreuken", schrijft de AP. "De AP stelt vast dat dit wijst op aanhoudende problemen van structurele aard die tot geen andere conclusie kunnen leiden dan dat bij de Belastingdienst, de ambtelijke leiding van het departement en de minister jarenlang sprake is (geweest) van een brede onachtzaamheid, nalatigheid en zélfs discriminatoir en daarmee onbehoorlijk handelen bij de toepassing van wettelijke regels omtrent gegevensbescherming."

Hoge boete

De boete voor het onrechtmatig verzamelen van de gegevens komt neer op een miljoen euro. Dat is hoger dan het basisbedrag van 725.000 euro dat geldt als boete voor die specifieke overtreding. Voor het feit dat er geen doelbinding was voor de gegevensverzameling verhoogt de AP het basisbedrag van 725.000 naar 750.000 euro. Het feit dat de gegevens niet altijd correct waren en dat de Belastingdienst zich niet aan de bewaartermijn hield, leveren allebei dezelfde verhoogde boete op. Voor het slecht beveiligen van de gegevens krijgt de fiscus een boete van nog eens 500.000 euro. Het slecht betrekken van de FG levert een boete van 450.000 euro op.

De FSV-database is sinds februari 2020 niet meer in gebruik. Toen trad het kabinet Rutte III af vanwege de affaire. Een boete voor de overheid gaat direct naar de pot met algemene middelen. Tweakers schreef vorig jaar een achtergrondverhaal over wat er gebeurt als de overheid zichzelf een boete geeft.